Phân loại hệ thống thông tin ngân hàng theo 5 cấp độ

Các hệ thống thông tin của tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán sẽ được phân loại theo 5 cấp độ, thay vì 3 cấp độ như quy định hiện hành.

Phân loại hệ thống thông tin ngân hàng theo 5 cấp độ
Phân loại hệ thống thông tin ngân hàng theo 5 cấp độ. Ảnh: Dân sinh

Ngân hàng Nhà nước (NHNN) Việt Nam đang lấy ý kiến vào dự thảo Thông tư quy định các giới hạn, tỷ lệ bảo đảm an toàn trong hoạt động của tổ chức tín dụng phi ngân hàng với nhiều bổ sung mới về đối tượng và phân cấp hệ thống thông tin 5 cấp độ.

Dự thảo thông tư được xây dựng nhằm cập nhật đầy đủ quy định của Luật An toàn thông tin mạng và các văn bản hướng dẫn, đồng thời phù hợp với thực tế tình hình an toàn thông tin mạng trong ngành so với Thông tư 18 (ban hành năm 2018).

Theo NHNN Việt Nam, trong năm 2019 và nửa đầu năm 2020, các cuộc tấn công mạng nhằm vào hệ thống ngân hàng gia tăng cả về quy mô và mức độ dai dẳng lẫn thủ đoạn tinh vi. Cuối 2019, ngành ngân hàng đã xảy ra vụ việc liên quan đến công tác đảm bảo an toàn thông tin như lộ lọt thông tin khách hàng, phát hiện mã độc tấn công xâm nhập vào hệ thống thông tin. Ngoài ra, Cục CNTT (NHNN) cũng ghi nhận vướng mắc và các đề xuất trong quá trình triển khai thực hiện Thông tư 18.

Dự thảo Thông tư thay thế có thể giải quyết được vấn đề nảy sinh trong hoạt động CNTT tại các tổ chức, cụ thể với quy định về phân loại hệ thống thông tin theo 3 mức độ, do số lượng các hệ thống thông tin nhiều, tập trung vào mức độ 2 (hệ thống thông tin quan trọng) nên các tổ chức gặp nhiều khó khăn, vướng mắc trong đầu tư nguồn lực để quản lý an toàn các hệ thống thông tin.

Dự thảo thông tư bổ sung thêm đối tượng hiện chưa có các quy định về tuân thủ bảo đảm an toàn hệ thống thông tin. Theo đó, ngoài các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, dự thảo Thông tư bổ sung một số đối tượng áp dụng thuộc phạm vi quản lý, cấp phép của NHNN hiện chưa có các quy định về tuân thủ bảo đảm an toàn hệ thống thông tin. Cụ thể là công ty thông tin tín dụng (hiện có Công ty Cổ phần thông tin tín dụng Việt Nam – PCB), Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam (VAMC), Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam có thiết lập và sử dụng hệ thống thông tin phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức.

Một nội dung được đưa vào dự thảo Thông tư mới so với quy định hiện hành là phân loại hệ thống thông tin theo 5 cấp độ.

Cụ thể, dự thảo thông tư quy định đối với các hệ thống cung cấp dịch vụ trực tuyến cho khách hàng phải tuân thủ phân loại hệ thống (theo quy định tại Nghị định 85/2016/NĐ-CP). Đối với các hệ thống khác, thực hiện phân loại theo 5 cấp độ trên cơ sở tham khảo quy định tại Nghị định 85 và phù hợp với đặc thù ngành ngân hàng. Đây sẽ là quy định thay thế phân loại 3 mức độ theo quy định tại Thông tư 18 đang có một số bất cập gây khó khăn cho các tổ chức khi triển khai.

 

Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một cấp độ khác nhau, cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành. Dự thảo nêu rõ, danh sách hệ thống thông tin theo cấp độ quan trọng phải được rà soát, cập nhật ngay sau khi hệ thống được triển khai và định kỳ hàng năm.

Trên cơ sở các hệ thống thông tin được phân loại theo cấp độ, các yêu cầu về an toàn bảo mật với từng hệ thống thông tin theo cấp độ có sự khác nhau, dẫn đến nguồn lực cần triển khai cũng khác nhau.

Dự thảo Thông tư cũng quy định áp dụng xác thực đa thành tố khi phê duyệt giao dịch tài chính phát sinh chuyển tiền điện tử sang đối tác bên ngoài có giá trị từ 100 triệu trở lên nhằm phòng ngừa rủi ro lộ lọt thông tin đăng nhập bằng mật khẩu của cán bộ nghiệp vụ.

Xác thực đa yếu tố là phương pháp xác thực yêu cầu tối thiểu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Các yếu tố xác thực bao gồm: những thông tin mà người dùng biết (số PIN, mã khoá bí mật,…); những gì mà người dùng có (thẻ thông minh, thiết bị token, điện thoại di động …); những dấu hiệu sinh trắc học của người dùng.

Ngoài ra, đối với các hệ thống thông tin từ cấp độ 4 trở lên phải áp dụng xác thực đa thành tố đối với các tài khoản quản trị máy chủ, ứng dụng và các thiết bị mạng, an ninh mạng quan trọng. 

Duy Vũ

Phó Thủ tướng Vũ Đức Đam: Phải thúc đẩy thật nhanh thanh toán điện tử trên di động

Phó Thủ tướng Vũ Đức Đam: Phải thúc đẩy thật nhanh thanh toán điện tử trên di động

Trong phát biểu về thúc đẩy chính phủ điện tử gần đây, Phó Thủ tướng Vũ Đức Đam cho rằng, một điểm rất quan trọng là phải thúc đẩy nhanh thanh toán điện tử, phải mở thật nhanh để cho người dân có thể thanh toán trên di động.

 
List comment
 
Ngân hàng Nhà nước và Đà Nẵng, Cần Thơ, Vĩnh Phúc dẫn đầu về đảm bảo ATTT
icon

Theo kết quả xếp hạng an toàn thông tin mạng năm 2019 của các cơ quan nhà nước, Ngân hàng Nhà nước Việt Nam và Đà Nẵng, Cần Thơ, Vĩnh Phúc là 4 đơn vị được đánh giá quan tâm triển khai an toàn thông tin ở mức tốt.

 
Singapore xác thực gương mặt khi dùng dịch vụ công
icon

Singapore sẽ là quốc gia đầu tiên trên thế giới sử dụng xác thực gương mặt để truy cập cả dịch vụ công và tư.  

 
Bảo mật điện toán đám mây và bảo mật tại chỗ khác nhau thế nào?
icon

Doanh nghiệp phải gánh toàn bộ trách nhiệm bảo mật đối với hạ tầng tại chỗ, nhưng có thể đẩy gần như toàn bộ gánh nặng sang nhà cung cấp khi chuyển lên mô hình đám mây.

 
Việt Nam hướng mục tiêu giảm 50% tỷ lệ nhiễm mã độc
icon

Một trong những mục tiêu của chiến dịch “Rà soát và bóc gỡ mã độc trên toàn quốc năm 2020” nhằm giảm một nửa tỷ lệ nhiễm mã độc trên toàn quốc. 

 
Kaspersky tham gia “Rà soát và bóc gỡ mã độc trên toàn quốc năm 2020”
icon

Kaspersky là một trong các đối tác tham gia chương trình “Rà soát và bóc gỡ mã độc trên toàn quốc năm 2020” của Bộ TT&TT.

 
 
Vì sao Việt Nam ngày càng có nhiều các Trung tâm điều hành an ninh mạng?
icon

Trung tâm điều hành an ninh mạng (Security Operation Center - SOC) đóng vai trò ngày càng quan trọng trong công tác phòng chống tấn công mạng.

Ngân hàng Việt vẫn là mục tiêu ưa thích của tội phạm mạng
icon

Báo cáo 8 tháng đầu năm 2020 của Viettel Cyber Security cho thấy hệ thống tài chính, ngân hàng Việt vẫn chiếm 90% trong 3 triệu vụ cảnh báo tấn công mạng được phát hiện.

Ứng dụng CNTT, Nhiệt điện Thái Bình đảm bảo an toàn hệ thống trọng yếu
icon

Trong năm 2020, Công ty Nhiệt điện Thái Bình đang tập trung vào củng cố hệ thống viễn thông dùng riêng, hệ thống CNTT; hoàn thành xây dựng đảm bảo an toàn, an ninh thông tin cho các hệ thống trọng yếu.

Chính phủ thông qua đề nghị xây dựng Nghị định bảo vệ dữ liệu cá nhân
icon

Cùng với việc thông qua đề nghị xây dựng Nghị định bảo vệ dữ liệu cá nhân, Chính phủ cũng giao Bộ Công an chủ trì việc nghiên cứu, xây dựng Nghị định này, trình Chính phủ trong quý I/2021.

Hệ thống bảo mật vân tay 'Make in Vietnam' sẵn sàng chinh phục thị trường
icon

Hệ thống bảo mật đa vai trò bằng vân tay 'Make in Vietnam' đã được thử nghiệm thành công với hơn 100 danh nghiệp tài chính - ngân hàng. Nhiều doanh nghiệp đặt vấn đề ký hợp đồng cung cấp dịch vụ.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123